מדריך לאבטחת חסינות מערכות - תכן התפעול במצבי חירום

תכן התפעול בחירום

כללי

אוטומציה

בקרת מפעיל

ניהול השליטה

תכן לבדיקתיות

 

 מניעת הסלמה

הסלמה זה מצב של אובדן שליטה במצב המערכת, בגלל המשך פעילות במצב שהוא בלתי מוכר למפעילים.

אילוצי המצבים החריגים

אובדן השליטה נובע מסטיה מהאילוצים המגדירים את חוקי התפעול במצבים החריגים.

רשת בטחון

רשת הבטחון זהו האמצעי להגן בפני אירועים מפתיעים. התפקיד של רשת הבטחון הוא להבטיח שניתן לאתר ולזהות את מצבים שהם בלתי סבירים, ולצמצם את הסיכונים הכרוכים בקשיים אפשריים בתהליך איתור התקלות.

 ריסון הפעילות

ניתן למנוע הסלמה על ידי העברת המערכת למוד פעילות מוגבלת, בו המערכת אינה מאפשרת למפעיל לעשות ככל העולה על רוחו.

דוגמאות

  • בנהיגה, על ידי האטה

  • במכונות ממונעות, על ידי חסימת כניסת דלק

  • בתעשייה התהליכית, על ידי חסימת חומרי גלם שמשמשים את תהליך הייצור

  • בכורים גרעיניים, על ידי הכנסת חומרים בולעי קרינה לתהליך.

הקפאת מצב המערכת

במקרה שהאיום הוא בלתי צפוי, כאשר הוא תוצאה של טעות בתכן או במימוש, אין אפשרות לקבוע מראש בוודאות מהי דרך הפעולה שתמנע את אירוע הכשל בעוד מועד.

אחת הדרכים לייצוב במקרה של תקלה בתעשייה התהליכית היא על ידי הקפאת מצב המערכת, לצורך בחינתה כפי שהייתה בשעת האירוע. דרך זו עלולה להיות הרת אסון, מכיוון שהמערכת ממשיכה לתפקד בתהליך של תפעול שגרתי, כאשר היא נמצאת במצב חריג, כלומר, חורגת מהאילוצים. על תאונה כזו יש דיווח במאמר המבוא של ננסי לבסון למודל STAMP .   

מוד חירום

המלצה - הגדרת האילוצים עבור מצבי חירום. דרך בטוחה יותר לייצוב אוטומטי היא על ידי הגדרה של חוקי הפעילות המוד חירום.

התפעול במצבים חריגים

מצבי הסלמה ייתכנו אך ורק במערכות בהן התפעול במצבים חריגים אינו מוגדר כראוי, ולכן הם אופייניים למערכות בהן התפעול במצבים חריגים אינו מוגדר במפרטי התפעול.

הנחיה: מפרטי התפעול בחירום. מפרטי התפעול צריכים לכלול הגדרה של חוקי התפעול בחירום, והתכן צריך להבטיח שתהליכי התפעול מצייתים לחוקים הללו.

מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/11/2014